Uma nova campanha de phishing, identificada pela Push Security, utiliza convites falsos do Calendly para roubar contas do Google Workspace e do Facebook. Os cibercriminosos se passam por recrutadores de marcas conhecidas, como Disney e Uber, criando e-mails que imitam comunicações legítimas. A técnica de spoofing é empregada para usar nomes de funcionários reais, aumentando a credibilidade do golpe. Ao clicar no link do convite, a vítima é direcionada a uma página falsa do Calendly, que utiliza CAPTCHA, e posteriormente a uma página de phishing que tenta capturar as credenciais de login. A campanha é direcionada principalmente a contas de gestores de anúncios do Google, com mecanismos de proteção contra análise, como bloqueadores de VPN. O uso de inteligência artificial para criar os e-mails e as páginas de phishing torna o ataque ainda mais sofisticado e perigoso, especialmente por contornar a autenticação em duas etapas. Com 31 URLs identificadas, a ameaça se espalha rapidamente, exigindo atenção redobrada dos usuários e das empresas.
Fonte: https://canaltech.com.br/seguranca/novo-golpe-usa-se-espalha-por-convites-falsos-do-calendly-veja-como-se-proteger/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
04/12/2025 • Risco: ALTO
PHISHING
Novo golpe com convites falsos do Calendly ameaça usuários brasileiros
RESUMO EXECUTIVO
A campanha de phishing em questão representa uma ameaça significativa para empresas que utilizam Google Workspace e Facebook Business. A utilização de técnicas avançadas de engenharia social e spoofing pode resultar em comprometimento de dados sensíveis, exigindo que as empresas implementem medidas de segurança robustas e treinem seus funcionários para reconhecer e evitar tais ataques.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao comprometimento de contas e dados.
Operacional
Roubo de credenciais e comprometimento de contas.
Setores vulneráveis
['Tecnologia', 'Marketing Digital', 'E-commerce']
📊 INDICADORES CHAVE
31 URLs maliciosas identificadas na campanha.
Indicador
Uso de inteligência artificial para criar e-mails de phishing.
Contexto BR
Alvos incluem contas de gestores de anúncios do Google.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas nas contas do Google Workspace e Facebook.
2
Implementar treinamento de conscientização sobre phishing para todos os funcionários.
3
Monitorar continuamente as tentativas de login e acessos não autorizados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação de ataques de phishing, que podem comprometer dados sensíveis e a reputação da empresa.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
